2
| 本文作者:金红 | 2015-09-11 13:18 |
据FreeBuf报道,漏洞盒子技术团队近日在中国移动手机热点分享功能里,发现一个安全漏洞,利用该漏洞,任何连接你手机热点的人,都可以随意登录并操作你的移动139邮箱和移动梦网。
中国移动作为中国最大的通信运营商,用户量多达八亿,这也意味着大量的移动用户陷入安全危机。
在漏洞盒子发布的测试视频中,我们可以看到手机在接入非移动网络环境中,登陆139邮箱,是一个普通的登陆页面,需要密码进行登陆。而在接入移动WiFi热点后,再次登录,则无需密码直接登陆成功。而且,在进入邮箱后可进行任何操作,不仅可以查看网盘和通讯录,还可以进行消费。
测试人员使用宿主邮箱账号订购动漫业务,并收到成功订购的短信
同样,在对移动梦网的登陆测试中,情况一致。
为什么是移动139邮箱和移动梦网。这是因为移动方面为了用户操作方便,为移动139邮箱及移动梦网提供了“免密码直接登陆”的功能设置,当用户进行了这一设置后,使用手机通过移动GRPS、3G、4G上网方式时,可直接登陆简版、酷版的139邮箱。只有手机处于非运营商网络中如WLAN中,139邮箱才需要账号密码进行手工操作。
不过这样的操作便利如今成为安全隐患,用户的手机很容易受到攻击。据漏洞盒子团队介绍,该漏洞本身技术含量并不高明,也很容易修复,但因为该漏洞涉及海量用户,可以造成大量的个人信息泄露,隐患巨大。目前,漏洞盒子已积极联系中国移动,希望可以尽快修复该漏洞。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。
